CISSP受験から資格維持までのまとめ
CISSPを受験、合格し、資格維持に必要なCPEも取得できたので、まとめてみます。
興味のある方、受験を考えている方の参考になればと思います。
CISSPとは?
CISSP(Certified Information Systems Security Professional)は、情報セキュリティの分野で国際的に権威のある資格の一つです。
保有者は世界で 165,000人(2024年)であり、保有者数は右肩上がりに推移しています。国内では、3000~4000人ほどのようです。(公式では最新数値を公開していない模様。)
保有者数増加の背景には、以下のようなことが挙げられます。
-
セキュリティ人材不足
ISC²の調査では、世界で約400万人の人材不足:ISC²の報告を見る -
政府・規制要件の指定
米国政府では、国防総省の指針で特定のセキュリティに関する職務でCISSPが要件と明記
日本ではIPAやNISCの人材育成指針の中で国際的セキュリティ資格の例として言及 -
クラウド・DXでセキュリティが経営課題
技術だけでなく、経営面の両方を理解する人材に対する需要が急増(CISSPの試験は技術よりも、全体像や考え方に特化した内容が多いです。) -
キャリアアップ
上記が、セキュリティ市場での評価に繋がるため、結果として受験者が増加
参考資料(日本ネットワークセキュリティ協会 年次カンファレンス資料)
また、CISSPは合格して終わりではなく、CPEを取得するための活動を継続する必要があります。
つまり、最新の技術や知識を学び続ける姿勢がなければ、資格も、そしてプロとしての信頼も維持できないということです。
こんな方におすすめ
- セキュリティエンジニア
- ITマネージャー、CISO
- セキュリティコンサル、監査担当者
試験はどんな感じ?
筆者が受験してきた試験を比較すると以下のような感じかと思います。
難易度のイメージは「CISSP > 情報処理安全確保支援士 > CompTIA Security+」と感じました。
試験は、CISSP的な考え方で答える必要があります。
参考書や関連サイトなどでよくCISSP的な考え方というキーワードを目にしますが、「組織全体を俯瞰してリスクとセキュリティをバランスよくマネジメントする考え方」と理解しています。
- 技術的な対応より、リスク評価・影響把握を優先
- 技術者だけで抱え込まず、経営判断に繋げる姿勢を優先
- 脆弱性発見時において、優先事項と対処方針をどう導き出すか(リスク低減やリスク受容などの方針決定プロセス)など
難しかったポイント
- 暗記より「なぜそうなるか?」を考える力が求められる
- 思考型の問題が多くて、頭をフル回転させる必要あり
- 「どちらも正解と解釈できるが、どちらがより適切か?」という問題が多い
- 翻訳のクセが強くて、選択肢の意味がわかりづらいことがある
- 試験時間が長い(今は3時間。筆者が受験した2023年は6時間でした)
試験形式の変更(2024年4月〜)
2024年4月15日から、CISSP試験は CAT(適応型)形式に変更されています。
出題数が減った印象はありますが、難易度に変わりはないようです。ただ、6時間が3時間に短縮されたことは、受験者の体力面・精神面でもかなり負担が軽減されたはずです。過去に6時間試験を経験されたことのある方は、相当苦労されたことと思います。
- 試験時間:最大3時間
- 問題数:100~150問(能力に応じて変動)
CAT形式は、答え方によって問題の難易度が変わる仕組みです。
その時の回答をもとに次の問題が決まるため、後から問題を見直すことはできません。
1問1問を慎重に答える必要がありますが、時間配分も重要(平均すると1問あたり1~1.5分)。
合格後は?
試験に合格しても、認定を受けない人がいるようですが、せっかく合格したならば認定を受けるのがおすすめです。
正式認定までの流れ
合格から認定までは約1か月かかります。
- 合格通知を受け取る
- エンドースメント(推薦状)及び業務経歴の提出
CISSP認定保持者に推薦してもらう必要があります - 倫理規範への同意
- ISC²による審査(4~6週間)
そして、認定を受けたらゴールではなく、ここからCPE取得を通じて継続的な学びなどの活動が始まります。
CPEの稼ぎ方?
CISSPは資格有効期限が 3年であり、維持のためには期限内に 120CPE を取得する必要があります。
3年は長く感じますが、必要ポイントも多いのでコツコツ積み上げる必要があります。
(Webinar 1時間 = 1ポイント程度)
筆者はほとんどWebinarで稼ぎましたが、興味のあるものを選んでキャッチアップしていくのはやりがいがありました。
CPEの種類
| 種類 | 内容 |
|---|---|
| A | セキュリティ関連の直接的な学習(Webinar、Quiz、Surveyなど)や講演などの啓発活動 |
| B | 一般的なIT教育や自己啓発(教育、読書など) |
筆者のCPE取得状況(2025年9月時点)
- 更新期限:2026年2月
- 取得ポイント:122.75CPE(無事達成)
内訳
| 種類 | 内容 | ポイント |
|---|---|---|
| A | ISC QUIZ | 26 |
| A | Survey | 12 |
| A | Webinar | 67.25 |
| B | Webinar | 15 |
| B | Education | 2.5 |
120を超えたCPEはどうなるか?
- 更新日の6か月前から取得した分 → 次期に持ち越し可能
- それ以前に取得した余剰分 → 消滅
英語Webinarをどう乗り越えたか?
CPE稼ぎの王道はWebinarかと思います。過去のものも閲覧できるので自分のタイミングで学習・情報収集が可能です。ただし、ほぼ英語です。
そこで、筆者が実践した方法は以下のとおりです。
- OBS StudioでWebinar音声を録音
- Whisper(OpenAIの音声認識モデル)で日本語に文字起こし&翻訳
- 出力された日本語テキストとWebinar資料を照らし合わせながら確認
少々アナログな感じですが、知らなかったことや最新情報などを様々なソースからキャッチアップすることができ、非常に有効かと思います。特にBrightTALKやSANSには大変お世話になっています。
おわりに
CISSPは幅広い知識を体系的にカバーできる資格ではありますが、資格取得でプロフェッショナルになれるわけではありません。やはり、セキュリティと一言で言っても分野は多岐にわたり、情勢も日々変化しています。そのような中で、学び続けること、最新情報をキャッチアップすること、啓発活動を続けていく中でプロフェッショナルに近づけるものかと思います。
この記事が、興味のある方や受験を考えている方の参考になれば幸いです。
最後まで読んでいただきありがとうございました。